Fale com um especialista +55 11 3141 9009

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Quem Somos
  • LGPD
  • Áreas de Atuação
  • Equipe
  • Imprensa
  • Opinião Jurídica
  • Contato

Consultoria jurídica

Conte conosco para adequação à LGPD

U

Sobre a LGPD

O que é e para quem vale



Materiais Exclusivos

E-books com muita informação sobre LGPD

Preciso de uma consultoria 



Dados Cast

Dados Cast: O podcast do Assis e Mendes

LGPD

Informações sobre Lei Geral de Proteção de Dados


DIREITO DIGITAL

Informações sobre Direito Digital


DIREITO EMPRESARIAL

Informações sobre Direito Empresarial

E-BOOKS PARA DOWNLOAD

b

2021

b

2020

b

2019



Anos anteriores

Fale com o Assis e Mendes

Política de segurança da informação, classificação e mapeamento de dados. A TI e seus desafios

Tecnologia

Como você sabe, o escritório Assis e Mendes tem entre suas especialidades a Conformidade com a LGPD e Direito dos Titulares:

Nós auxiliamos sua empresa na conformidade com a Lei Gera de Proteção de Dados focando das bases legais para o tratamento de dados, revisão dos contratos e cumprimento do Direito dos Titulares. Mas sabemos que nosso trabalho cobre a parte jurídica da conformidade com a lei.

Para a parte tecnológica, contamos com parceiros especializados em Segurança da Informação para atender nossos clientes desde o assessment até a implantação de ferramentas que auxiliem na execução de tarefas, gestão de privacidade e segurança dos dados.

Por isso, conversamos com o especialista Marcos Freitas, Diretor de Delivery e Auditor Líder do nosso principal parceiro, a Leadcomm Performance&Security, para te ajudar a entender quais os primeiros passos que a empresa deve fazer no atendimento ao que rege a LGPD, a importância de ter uma política de segurança da informação e de adotar os processos derivados dela para que você possa cuidar de forma efetiva do seu negócio.

  1. Marcos, é bastante comum ouvir que é importante ter políticas de segurança. Mas, de fato, para podermos entender bem e de forma objetiva, o que são políticas ou política de segurança? E por que as empresas devem se preocupar com isso?

As políticas de segurança são importantes, pois elas estabelecem nas organizações as diretrizes para que todos os envolvidos, dentro de suas funções e habilidades, possam ter responsabilidade com relação ao uso das informações dentro da empresa, como transferência, armazenamento e uso – quem pode acessá-la, quem não pode. Essa é a parte mais importante. A informação é um bem muito preciso e as políticas garantem a proteção e uso correto dos dados. Ainda mais hoje, com a questão da LGPD, essas regras passam a ser ainda mais importante, porque agora existe uma lei que estabelece o direito do titular dos dados e pode acarretar multas às empresas quando há o mau uso dos dados pessoais e sensíveis.

  • Quais são os principais desafios encontrados para se desenhar e implementar uma política de segurança?

Eu diria que, mesmo hoje, as empresas no Brasil são pouco maduras no quesito segurança. Os riscos normalmente são muito negligenciados. Através da consultoria LGPD que realizamos pela Leadcomm, conseguimos ver que há um despreparo de grandes organizações para poder atender toda e qualquer legislação que trate da segurança de dados. Enxergamos uma distância entre a realidade e o que de fato se deseja nessa área. Por mais que esse seja um tema tratado há, pelo menos, mais de três décadas de forma intensa, a gente percebe pouca evolução nas grandes empresas (e nas demais também).

Outra questão importante, que sempre ouvimos, é o direcionamento da gestão de segurança de uma organização para e somente à área de TI (tecnologia da informação) quando, na verdade, a segurança é um tema corporativo e deve ser tratada como tal. Além do mais, muitas informações estão fora da alçada da TI.   

  • Classificação de dados – o que é isso?

Quando a gente fala de política de segurança e das boas práticas para o trato das informações, é importante entender que os dados não possuem os mesmos graus de importância. Dentro de uma organização, encontramos vários grupos de informações – desde as pouco importantes até as estratégicas. O desafio é rotular todas mediante esse fator.

A classificação de dados é o rótulo que se dá a determinadas informações – a pública, a confidencial, a restrita – e a partir dessa classificação estabelece-se controles de armazenamento, transferência, trocas, forma de descarte, etc.

  • Fala-se bastante da importância de classificar os dados sensíveis dentro de uma empresa. É algo que pode ser feito internamente?

O grande desafio de classificar dados internamente é que é pouco provável que a empresa tenha um profissional dedicado a isso e que consiga compreender, por exemplo, a LGPD, que é muito ampla. Isso se dá pela negligência que ocorre há muito tempo por parte das empresas em relação à segurança e pela defasagem de profissionais no mercado.

As empresas enfrentam dificuldades em encontrar profissionais da área de segurança, agravado pela entrada da LGPD, e esse são especializados e focados na TI – que é apenas uma das camadas da segurança.

É preciso ter visão do negócio.

Com isso, é mais fácil buscar por parceiros/terceiros com expertise, profissionais qualificados e competência para entregar o trabalho. Assim, a empresa também pode continuar focada no seu negócio (core business). 

  • Existe uma forma ideal para mapear dados? Aliás, qual é a diferença entre classificar dados e mapear dados?

O mapeamento é o entendimento de onde estão os dados captados, utilizados e armazenados pela empresa e como são utilizados cada tipo de dado (classificados conforme explicado anteriormente). Por exemplo: a LGPD trata dados pessoais e sensíveis. O mapeamento irá determinar quais as áreas da empresa que recebem, tratam e armazenam esses dados e de que forma o fazem.

Para mapear, é necessário conhecer todos os processos de todos os setores da empresa, para identificar onde existem dados pessoais, quais são esses dados, de quem, como são tratados e onde ficam armazenados.

A classificação é o rótulo que ajudará a determinar qual a política que será seguida para aquele dado mapeado.

  • O mapeamento de dados e as políticas de segurança são questões de responsabilidade exclusiva da área de TI?

Não. A segurança da informação é um problema corporativo, deve ser tratada como tal e ser parte da estratégia de negócio da organização. É claro que a TI tem muita relação com a segurança, principalmente porque falamos de infraestrutura, sistemas, monitoramento, suporte, análises, etc. Mas tudo isso deve estar alinhado à uma política geral de segurança.

  • Para finalizar:

O tema segurança é bastante antigo, o ponto é que deixamos a política de segurança da informação como algo mais prático do que teórico. Encontramos muitas empresas com políticas escritas, mas muito distante daquilo que é possível ser executado na prática – muitas vezes as empresas possuem diretrizes e documentos escritos, mas são coisas muito distantes do que podem executar. A política de SI tem que retratar algo que seja próximo ao dia a dia da empresa, caso contrário, será mais um documento que vai ficar parado na gaveta.

Muitas vezes, empresas copiam políticas uma das outras, mas na prática, o que foi copiado não é possível de se aplicar no dia a dia porque está muito longe da realidade e dos aspectos culturais da empresa. 

Criar uma política de SI própria para sua empresa é, além de um investimento, uma forma de garantia de que processos serão realizados da forma correta e um seguro para que sansões não sejam aplicadas por uso incorreto de dados e informações.

Caso queira mais informações sobre Políticas de Segurança de Informações, Consultoria LGPD ou soluções de Segurança de Dados, entre em contato com a Leadcomm: www.leadcomm.com.br/contato/

Categorias

  • Bots
  • Colunistas
  • Compliance
  • Coronavirus
  • Cyberbullying
  • Direito digital
  • Direito Empresarial
  • Direito Imobiliário
  • Direito tributário
  • Imprensa
  • Lei da Liberdade Econômica
  • LGPD
  • Não categorizado
  • Privacidade
  • Segurança da Informação
  • Sem categoria
  • Stalking
  • Tecnologia
  • Trabalhista

Inscreva-se para nossa NewsLetter

Tags

ANPD aplicação LGPD assessoria jurídica cibercrime CLT contrato contrato de trabalho contratos contrato societário crimes virtuais direito a privacidade direito digital Direito Empresarial direito trabalhista direito tributário e-commerce empreendedor empreendedorismo empresas featured GDPR impostos internet investimento lei de proteção de dados Lei Geral de Proteção de Dados lei LGPD LGPD loja virtual privacidade privacidade na internet privacidade online proteção de dados redes sociais regime tributário segurança segurança da informação segurança digital segurança jurídica site sociedade startup startups tecnologia vazamento de dados

O escritório

  • Quem Somos
  • Advogados
  • Premiações e reconhecimento
  • Áreas de Atuação

Informações Legais

  • Política de Privacidade
  • Termos de Uso
  • Trabalhe conosco
  • Imprensa
  • Contato

Fale com um especialista

11 3141 9009
Alameda Santos, 1165
Paulista – CEP 01419-001 – SP

Redes Sociais

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir

© Assis e Mendes Advogados – Direito Digital, Empresarial e Proteção de Dados – 2020